Čo sme priniesli na ITAPU alebo nesúlad medzi trendami v oblasti KB a súčasnou legislatívou

Počuli ste už o zásade „zero trust“ uplatňovanej pri riadení dodávateľských vzťahov v oblasti kybernetickej bezpečnosti? Teda o zásade odstránenia implicitnej dôvery v bezpečnosť dodávateľa a jej nahradenia permanentným overovaním a preskúmavaním? S takýmto trendom, diskutovaným aj na jarnej ITAPE 2022, ktorej sme sa v rámci panelu „Útoky na dodávateľské reťazce“ zúčastnili, sa rozhodne stotožňujeme. A takto ku koncipovaniu zmluvných dojednaní s dodávateľmi našich klientov dlhodobo pristupujeme.

Čo však s protichodnou možnosťou vyhnúť sa zmluvnému dojednaniu s treťou stranou (dodávateľom), ktorú zákon o kybernetickej bezpečnosti pripúšťa v rámci § 19 ods. 3? Čo s možnosťou, ktorá umožňuje vyhnúť sa zmluvnému prenosu povinností a zodpovedností na dodávateľov len preto, že požívajú akýsi status? Status prevádzkovateľa základnej služby alebo poskytovateľa digitálnej služby? Bez reálneho hodnotenia rizík? Bez reálneho zohľadnenia, ako a či vôbec je zákon o kybernetickej bezpečnosti len titulom statusu dodávateľa skutočne dodržiavaný?

Za nás je to jednoduché. Aj keď negociácie bývajú ťažké. Na možnosť vyhnúť sa uzavretiu zmluvy podľa § 19 ods. 2 zákona o kybernetickej bezpečnosti plošne nereflektovať. Hľadieť na ňu ako na právo, nie povinnosť prevádzkovateľa základných služieb, ktorý vždy zodpovedá za výber a použitie bezpečného dodávateľa. A vždy reflektovať na riziká.

A ako pristupujete k zmluvným dojednaniam s tretími stranami vy? Využívate zákonnú výnimku, ak je to možné? Inšpirujete sa centrálnym registrom zmlúv? Používate generické vzory? Analyzujete riziká na strane dodávateľa?

Pozrite si záznam z diskusie na Jarnej ITAPE s našim kolegom JUDr. Števom Pilárom:

https://www.youtube.com/watch?v=2hZe_7AFBnE